8万人を対象としたフィッシング演習から学んだこと
フィッシングメールについて、セキュリティ業界では多くの通説が存在しています。 エフセキュアではそれらの通説の有効性をデータで解明しようと考えました。 そこで、4つの異なる業種の企業の82,402人の従業員に向けて、4つのタイプの疑似フィッシングメールの1つを無作為に送信して、調査対象者が影響を受けやすい(疑似フィッシングメールのリンクをクリックする)かどうかを記録し、クリックした人にはいくつかの質問をして、その背景を解釈しました。
今回の調査結果は、これまでの通説を裏付けるもので古典的な通説を支持する結果でした。例えば、休暇取得に関する人事部門からの通知を模したEメールが最もクリックが多く効果的だったことには誰も驚かないでしょう。 同時に、業界の常識を覆すような結果も確認されました。最も印象的だった結果は、テクニカル部門に従事している人であっても、他の職務の人と同様にフィッシングメールの影響を受けやすいという点です。
対象となった4つの企業のうちの2つの企業の対象従業員の中には、ITやDevOpsといったコンピュータ技術に精通した部門の従業員が含まれていました。 そして、1つの企業のテクニカル部門の従業員であっても、他の業務部門と同じようにフィッシングの疑いがあるメールをクリックしてしまうことに関して大きなアドバンテージを持っているとは言えないこともわかりました (疑似フィッシングメールのクリック率: DevOps部門で26%、IT部門で24%、企業全体では25%)。また、もう1つテクニカル部門を持つ企業では、フィッシングの疑いがあるメールのクリック率に関して、技術部門の方が、企業平均をはるかに上回っていました。(DevOps部門で30%、IT部門で21%、企業全体では11%)
同様に、これらのテクニカル部門のグループは、受信した疑わしいメールについての報告に関して、他の組織よりも低い結果でした。ある企業での報告率は、IT部門とDevOpsの報告率は、9つの部門のうち3番目と6番目でした。別の企業では、16の部門のうち、DevOpsは12番目、ITは15番目に留まっていました。 また、疑似フィッシングメールをクリックした人に、過去にフィッシングメールを受け取ったことがあるかの有無を尋ねましたが、どちらの企業でも、IT部門とDevOps部門は他の組織よりも高い確率でフィッシング攻撃に気が付いたと自己申告しています。これは、より多くのフィッシング攻撃を受けているか、あるいは自分たちの方がフィッシング攻撃を見抜く能力が高いと考えていることを示唆しています。
これらの結果から、2つの結論を得ることができます。第一に、受信するEメールの増加に伴い、技術スタッフが一貫して影響を受けやすく、報告プロセスが整備されていないことも加わりフィッシングに対するリスクが高くなっています。第二に、ITリテラシーが高く、フィッシングに対する意識が高くても、フィッシングメールの被害を減らすことはできません。もし「技術的な」仕事に従事する人たちがフィッシング攻撃の予防や防御に長けていないのであれば、どうやって「技術的スキルの低い」人のフィッシング攻撃への対処能力を高めることができるのでしょうか?テクノロジーへの精通度合ではなく、フィッシングメールへの影響を受けにくい人が、リスクの高い人を守れるような強固な方法を導入すべきだと言えます。
もう1つの重要な考察は、不審なEメールを報告する人数が、報告プロセスに直接関係している点です。今回の調査に参加した4つの企業の中の1社は、そもそも不審なEメールの報告プロセスが存在していませんでした。 別の企業では、ユーザーが不審なメール見つけた場合、共有のメールボックスへ送信することが推奨されていました。ある企業では、メールクライアントに報告ボタンの展開中だったものの、企業内の2つのグループにしか展開されておらず、残りのグループは受け取った不審メールを転送していました。最後の企業では、報告ボタンが全ての従業員のメールクライアントに実装されており、この報告ボタンを使って47%のスタッフが不審なメールを「疑わしい」と報告していました。しかし、報告ボタンが用意されていない企業では、13%のスタッフからしか不審なメールが報告されていませんでした。全従業員に報告ボタンが実装されていない企業では、報告ボタンを利用できた従業員の44%が演習メールを「疑わしい」と報告していましたが、報告ボタンが利用できない人の中で、演習メールを「疑わしい」と報告したのはわずか11%でした
企業は、多層防御をかいくぐるEメールによるフィッシング詐欺を特定する方法を備えるなければなりません。悪質なメールがメールボックスに届いた場合、そのEメールを受け取った者が、そのメールを疑わしいと判断し、セキュリティ・チームに警告しなければなりません。企業が全ての従業員に簡単な報告プロセスを用意できていない場合、報告されるフィッシング・メールの数が報告ボタンを実装した場合の4分の1程しか報告されないことを意味しています。 私たちは、全て企業がすべての従業員のメールシステムへの報告ボタンの実装を強く推奨します。ただでさえ多くのケースを扱うセキュリティ対策部門の担当者にとって、報告されるメールの数が4倍になるというのは、想像もつかないことかもしれません。しかし、その解決策は自動化とトリアージによって解決されるべきです。
最後に、不審メールの報告の問題では、スピードを考慮しなければなりません。ネットワークを危険にさらそうとする攻撃者にとっても、それを防ごうとするセキュリティチームにとっても、時間は何よりも重要な事項です。今回の調査では、演習メールが配信されてから5分以内に、そのメールを不審なものとして報告した人の3倍以上が被害に遭っていることがわかりました。5分前後でこの数字は横ばいになり始め、30分後にはクリックされる数よりも報告数の方が多くなると予想されます。メールを確認して怪しいと判断し、報告するまでにかかる時間は、メールを信じて被害に遭うまでにかかる時間よりも長いのです。障壁を取り除き、報告された不審なメールを迅速に処理するための効果的な方法の確立は、フィッシングによる被害を防ぐために不可欠なことです。
この調査から得られた考察は以下の通りです。
- 職務上の役割に関わらず、フィッシング攻撃の影響を受けやすい。
- フィッシング攻撃に気づく可能性が高い人には、簡単に行える報告方法を提供する。
- 脅威度の高いメールの優先順付け(トリアージ)し、迅速に対応できるようにSOC (Security Operation Center) の体制を整える必要があります。
本調査の詳細、結果、考察はこちらをご覧ください。